問題一:在《薩班斯法案》的404條款中,對IT部門的法規(guī)有19條,您如何看待這些條款對IT企業(yè)的影響?
  
    崔瑤穎:《薩班斯法案》強調企業(yè)的信息技術策略和企業(yè)內控活動(不論是人還是機器)的操作流程都必須進行明白的定義并保存相關記錄,而后才能實施。 
   
    該法案還規(guī)定,公司首席執(zhí)行官和首席財務官必須對財務報告的真實性宣誓,倘若提供不實財務報告的,他們有可能將被處以10年或20年監(jiān)禁的重刑。該法規(guī)在確保公司財務報告的可靠性、保護投資人利益的同時,也讓上市公司為了遵循該條款付出了不菲的代價,包括大量的人力、物力、財力和時間的投入。但是,與由于上市公司不能遵從該法案所帶來的巨大損失相比,這些成本投入都是值得的,而且公司通過部署高效的IT系統(tǒng)還能降低總體擁有成本,從而提升其投資回報率。
  
    郭尊華:薩班斯法案從2002年的時候,是美國總統(tǒng)布什簽了以后發(fā)生效用,主要源于安然、世界電信公司等美國超大型企業(yè),他們因為管理方面的不足,導致投資者和很多人對美國經濟和美國投資的負面影響,覺得必須要去加強一些監(jiān)管的能力。在IT控制緊密相關的SOX條款里,有幾個條款是跟IT有關系的:第一,就是302條款。第二是404條款。第三是409行款。第四是802條款。SOX包含的不光有IT,還包括人、流程和技術,薩班斯法案不光包括財務是公司每一個人都要遵從的法規(guī)。一個企業(yè)如果要真的推動薩班斯法案的話,不但CIO、還要有首席財務官,法規(guī)顧問以及公司負責人等一起協(xié)作推動薩班斯法案。
  
    John Gubernat:受企業(yè)危機事件和整個經濟大環(huán)境的影響,法規(guī)遵從和公司管理一直沒有被各組織所重視,如Sarbanes-Oxley法規(guī)已經受到大多數(shù)人的關注。同時還有成千上萬的國家、地區(qū)以及城鄉(xiāng)的特殊法規(guī)也正管理著成指數(shù)增長的信息的保留、使用、申報以及最終的處理。但是如何管理這些信息,依然困擾著企業(yè)的首席信息官們。
  
    如果不遵守這些法規(guī),企業(yè)會招致罰款。如果不能迅速存取關鍵信息還會危及企業(yè)的業(yè)務。如果不積極地管理這些信息并保留和處理,企業(yè)將遭受更大的法律風險。
  
    金微:法規(guī)遵從中的條款是非常多的,基本上是要求信息不能被篡改。以前的歸檔軟件往往不太考慮這個問題,現(xiàn)在市場上要求歸檔解決方案能具備:一是防止篡改能力;即使是最高等級的管理員也無法修改歸檔記錄;二是和行業(yè)應用的結合性;三是數(shù)據(jù)訪問或再利用方便性。
  
    莊國光:近年來一系列的財務丑聞使所有公司遭受前所未有的監(jiān)察壓力,絕大多數(shù)情況則是因為企業(yè)高層無法掌握企業(yè)的完整信息而導致公司治理失敗。這就要求信息技術為公司治理和遵守行政法規(guī)的工作提供幫助,通過實現(xiàn)流程的簡化和信息的集中化,幫助公司更快地披露信息,并且最大限度地降低發(fā)生錯誤的概率,從而減少期末出現(xiàn)意想不到結果的可能性。比如簡化財務報表的編制過程,由于新近在商業(yè)智能軟件上取得的技術進步,企業(yè)能夠在匯總和明細這兩類級別上實時查看相關的財務數(shù)據(jù)。從而極大地減少了收集財務數(shù)據(jù)所耗費的時間,允許將更多的時間用于對結果進行仔細的分析和深入的演示上。
  
    問題二:《薩班斯法案》給我們的IT企業(yè)帶來的負面影響有哪些?我們如何應對?
  
    崔瑤穎:由于遵從《薩班斯法案》所需投入的工作量相當繁重,涉及到企業(yè)經營、IT系統(tǒng)控制、投融資管理、財務監(jiān)控、法律法規(guī)監(jiān)督等一系列領域,公司必須投入較多的財力、人力和物力資源,初始成本之高令很多公司對在美國上市望而卻步。據(jù)悉,某些上市公司由于財務報表制作不夠及時,直接導致其美國上市之路的曲折。
  
    企業(yè)應該認識到,對其業(yè)務數(shù)據(jù)的存儲、管理和保護是遵從法案的基礎和保證。法案對企業(yè)在信息數(shù)據(jù)的保存和保護方式方面提出了新的挑戰(zhàn):企業(yè)必須要保護其數(shù)據(jù)不受到意外刪除或災難影響的同時,還要遵守長期保留數(shù)據(jù)的法律法規(guī)要求。對數(shù)據(jù)進行有效的歸檔和備份對企業(yè)遵從法案至關重要:備份用于快速復制和恢復,以減少故障、人員錯誤或災難帶來的影響;歸檔則用于對數(shù)據(jù)進行有效的管理、保留和長期的訪問與檢索。企業(yè)通過有效結合歸檔和備份,能達到優(yōu)化成本、改進存儲基礎設施的整體效力。
  
    郭尊華:這個法案的推動,為企業(yè)IT策略遵從企業(yè)治理方案打下良好的開端,也為IT與業(yè)務的結合提供了最好的實踐,同時也推動了中國的企業(yè)更進一步地關注與業(yè)務增長的IT技能和流程。
  
    比如說賽門鐵克在中國的公司也要遵從薩班斯法案,一個中國的企業(yè)在美國上市也要遵從薩班斯法案,為什么薩班斯法案使得中國本土的企業(yè)都覺得有必要探討或者研究,或者在企業(yè)里頭推動薩班斯法案,可能不僅是遵從法規(guī),而是怎么樣加強他們公司內部的管理體制,還有其他國家做得好的話,他們也可以學習他們做得好的部分。
  
    另外,歐美國家公司和公司之間需要透明而且是可信賴,可以互相合作的,如果企業(yè)在推動薩班斯法案,一些歐美企業(yè)就會說我遵守法規(guī),你們也遵守,我們在互信方面就有一定的基礎,所以對中國企業(yè)來說也有一定的好處。
  
    金微:各行各業(yè)都有存儲歸檔的需要,一個企業(yè)內也會有多個需要。譬如金融業(yè)需要歷史數(shù)據(jù)用于利潤分析、客戶服務、信用度控制和反洗錢等應用。我們可以按照用戶的數(shù)據(jù)的特點,分為3類:結構化數(shù)據(jù)(如數(shù)據(jù)庫);半結構化數(shù)據(jù)(如郵件系統(tǒng))和非結構化數(shù)據(jù)(如圖像、錄像)。由于應用目的的不同,數(shù)據(jù)保存和使用的策略也不相同,歸檔系統(tǒng)是一個相當客戶化、定制化的系統(tǒng)。
  
    問題三:《薩班斯法案》給我們的IT企業(yè)帶來的機遇在哪里?我們如何把握?
  
    崔瑤穎:自《薩班斯法案》頒布以來,中國企業(yè)在制定新的數(shù)據(jù)存儲解決方案時,就必將有關該法案的內容考慮進去;同時,企業(yè)必須建立正確的IT基礎架構,制定數(shù)據(jù)保持和保護策略,選擇適當?shù)拇鎯夹g以便高效地遵從法律。雖然《薩班斯法案》會給企業(yè)帶來沉重的負擔,也打擊了一些欲在美國上市的企業(yè)的積極性,但是,不可否認遵從《薩班斯法案》能給企業(yè)帶來長遠的積極效果,因為方案不僅要求上市公司關注自身的業(yè)績,同時也敦促公司加強自身內部控制、最大限度地提升公司的治理水平,這必將增強公司高管和投資人的投資信心。
  
    郭尊華:推動薩班斯法案,對中國企業(yè)是一個很好的契機,為什么中國有很多企業(yè)有這個興趣推動薩班斯法案,是因為他們希望把工作的流程,或者把公司整體環(huán)境或者管理環(huán)境從政務、風險、道德、法規(guī)遵從方面有一個全面的提升,而不是只是遵從美國的法規(guī),而是必須提升自己管理方面的水平。
  
    John Gubernat:企業(yè)面臨著規(guī)章、調查和起訴的難題,因此要求信息系統(tǒng)必須能夠快速提供真實且具體的數(shù)據(jù)。采用硬件、軟件和服務等多種技術的聯(lián)合,幫助企業(yè)建立最好的ILM實踐,并通過明確的數(shù)據(jù)分類和法規(guī)遵從來定位信息基礎設施。
  
    為了達到此目的,企業(yè)必須明確知道他們擁有何種信息,用于何處和存儲于何處,從而能夠簡單地實現(xiàn)在合適的時間保存合適的數(shù)據(jù)。這種策略可以更好的處理數(shù)據(jù),使得CIO們能夠按照他們的需要提供精確的數(shù)據(jù)。這對于要求處理大量信息的公司而言是非常關鍵的。
  
    信息價值的不同使得IT管理者們必須創(chuàng)造一種分層存儲基礎設施,使信息的價值與相應存儲設備的數(shù)據(jù)管理價值相匹配。作為ILM策略的基礎,分層存儲允許公司把最新的、重要的和經常被訪問的信息存儲在頂層–高性能的存儲。所以它是一種快速接入方式。隨著時間推移,當這些信息變得次要了,被訪問的不太頻繁了,它就被移到花費較少的中層存儲,這就釋放了更多的昂貴的高端資源。對于公司管理和管理法規(guī)遵從,固定內容尋址存儲系統(tǒng)分層是首選,因為它能真正存檔和快速檢索。
  
    莊國光:如果把整個企業(yè)治理系統(tǒng)看作一座金字塔,那么,體現(xiàn)可見性、控制力和高效率的商務系統(tǒng)就是整個金字塔的塔頂。若想真正依照賽班斯方案實現(xiàn)企業(yè)治理的目標,離不開塔身和牢固的塔基,在企業(yè)治理系統(tǒng)這座金字塔中,公司治理系統(tǒng)的可見性、控制力以及高效率,必須以完全的自動化和完整的信息流為支撐,否則,不完整的信息流會使高層決策者因難以看到商務系統(tǒng)運行的“廬山真面目”,而得出錯誤的判斷和決策;而手工作業(yè)處理信息的方式在信息時代則更加難以想象。正是公司治理系統(tǒng)對完整的信息和完全的自動化的要求,IT在新的世紀有了它新的使命:即作為企業(yè)治理系統(tǒng)的塔基,來形成完整的信息流和實現(xiàn)信息處理的完全自動化,從而改善治理系統(tǒng)的運行,實現(xiàn)企業(yè)治理的透明化、可控性和高效率。

分享到

多易

相關推薦